7/1 NetWare-beveiliging

Transcriptie

1 Security 7/1 NetWare-beveiliging 7/1.1 Inleiding Wanneer u gebruikmaakt van NetWare als besturingssysteem, krijgt u daar een aantal vormen van beveiliging automatisch bijgeleverd. Er is beveiliging die te maken heeft met inloggen, beveiliging die bepaalt hoe u toegang krijgt tot het bestandssysteem, beveiliging op edirectory en niet als minste de Novell Modular Authentication Services (NMAS). In dit hoodstuk wordt een overzicht gegeven van deze standaardbeveiligingen van NetWare. De verschillende aspecten die aan de orde komen, zijn alle van toepassing op elke NetWare-versie vanaf NetWare 4. Sommige vormen van beveiliging, zoals de login security en file system security, stammen zelfs uit een nog grijzer verleden. Alleen NMAS wordt pas standaard meegeleverd vanaf NetWare 6.0, al is het wel als apart product voor eerdere versies verkrijgbaar. Toegang edirectory resource In alle NetWare-versies vanaf NetWare 4.0 speelt de NDS, later edirectory, een centrale rol in de beveiliging van het besturingssysteem. Niet alleen wordt hierin met behulp van rechten bijgehouden wie op welke objecten rechten heeft, ook wordt het authenticatieproces door edirectory geregeld. Hiervoor wordt gebruikgemaakt van public en private keys. Hierna wordt uiteengezet op welke wijze toegang wordt verleend tot een edirectory resource. 1. De gebruiker meldt zich aan. Hierbij worden credentials en een signature bepaald. De credential is een tekenreeks die bestaat uit de nodige informatie van de Novell Netwerkoplossingen, aanvulling 10 7/1.1-1

2 NetWare-beveiliging gebruiker, zoals de log-intijd van de gebruiker en zijn netwerkadres, gecombineerd met een houdbaarheidsperiode. Naast de credentials wordt gebruikgemaakt van een signature. De signature is het resultaat van encryptie van de credentials met behulp van de private key van de gebruiker. U ziet waarschijnlijk al waar dit naartoe gaat: op het moment dat de andere partij in de communicatie de signature kan ontcijferen met behulp van de public key van de betreffende gebruiker, is deze geauthenticeerd. 2. De gebruiker in kwestie vraagt toegang tot een bepaalde toepassing. 3. De client van het werkstation waarop de gebruiker werkt, begint met het verzenden van een request naar de betreffende service. 4. Als antwoord stuurt de betreffende service een willekeurig getal terug naar de client. Dit willekeurige getal wordt alleen gebruikt voor de lopende transactie. 5. De client bewijst dat de credential én het willekeurige getal goed zijn door gebruik te maken van zijn signature. 6. Vervolgens stuurt de client het willekeurige getal, de credential en het bewijs dat met behulp van zijn signature is gegenereerd, terug naar de service. 7. De service verifieert vervolgens dit bewijs. Wanneer dit afdoende is gebeurd, staat de identiteit van de gebruiker vast. 8. Het willekeurige getal bewijst bovendien dat de gegevens die door de service zijn ontvangen, ook van de beoogde afzender zijn. Wanneer iemand anders de connectie zou hebben gekaapt, zou dit willekeurige getal namelijk niet gelijk zijn. 9. De service stuurt nu een bevestiging terug. 10. De gebruiker verkrijgt toegang tot de beoogde service. 7/1.1-2 Novell Netwerkoplossingen, aanvulling 10

3 Security 7/1.2 Verschillende rechtensystemen in een Novell-omgeving Zoals gezegd, zijn er binnen een Novell-omgeving verschillende manieren waarop aan beveiliging kan worden gedaan. We zetten de belangrijkste op een rij. 7/1.2.1 Log-inbeveiliging Het eerste niveau van beveiliging waarmee een gebruiker te maken krijgt, is log-inbeveiliging. Dit is de manier van beveiliging die aan individuele gebruikersaccounts is verbonden. In ConsoleOne vindt u de instellingen die te maken hebben met log-inbeveiliging op het tabblad Restrictions. De volgende manieren van log-inbeveiliging bestaan in een Novell-omgeving: De eerste manier van beveiliging waarmee een gebruiker in een Novellomgeving wordt geconfronteerd, is log-inbeveiliging. Novell Netwerkoplossingen, aanvulling 10 7/1.2-1

4 NetWare-beveiliging Password restrictions Hiermee wordt bepaald aan welke eigenschappen een wachtwoord moet voldoen. Vooral de houdbaarheid en de minimale lengte van een wachtwoord zijn belangrijke issues. U kunt aangeven of gebruikte wachtwoorden uniek moeten zijn; het is echter niet mogelijk onderscheid te maken tussen gebruik van hoofd- en kleine letters. Ook is er geen optie om aan te geven dat er bepaalde tekens in het wachtwoord moeten voorkomen. Denk bijvoorbeeld aan de optie dat er minimaal één teken moet worden gebruikt dat geen letter is. Login restrictions Met behulp van deze instellingen kunnen beperkingen aan het inloggen van een gebruiker worden opgelegd. Denk bijvoorbeeld aan de mogelijkheid een account te disabelen zodat het niet langer kan worden gebruikt; of een account automatisch na een bepaalde datum te laten verlopen. Deze optie is erg handig om er, bijvoorbeeld, voor te zorgen dat het account van een uitzendkracht die tijdens de vakantie zes weken de gelederen komt versterken, automatisch na die zes weken ook weer vervalt. Time restrictions Wanneer u zeker weet dat er s nachts en in het weekend nooit iemand op de zaak is om te werken, kunt u er door middel van time restrictions voor zorgen dat er op die tijdstippen ook niet kán worden gewerkt. Wij raden u echter aan hier spaarzaam mee te zijn; in veel bedrijven zijn er namelijk maar weinig uren waarop het nooit voorkomt dat iemand moet inloggen. In tijden van extreme drukte moet het vanuit het belang van de zaak ook mogelijk zijn dat een salesmedewerker om twee uur s nachts inbelt om een rapportage te uploaden. 7/1.2-2 Novell Netwerkoplossingen, aanvulling 10

5 Security Address restrictions Voor gebruikers die een extra laag beveiligingsniveau nodig hebben, kan gebruik worden gemaakt van address restrictions. Door middel van deze address restrictions kunt u ervoor zorgen dat een gebruiker alleen vanaf zijn eigen IP-adres mag inloggen. Wordt er ingelogd vanaf een ander adres, dan komt de gebruiker er gewoon niet in, ook al kent hij wel het juiste wachtwoord. Intruder lockout Intruder lockout is de politieagent die ervoor zorgt dat het te vaak verkeerd inloggen door een gebruiker wordt afgestraft. De straf bestaat erin dat het account voor een bepaalde periode op slot gaat. Er kan voor worden gekozen het account automatisch weer vrij te geven; het is ook mogelijk dat gebruikers pas weer kunnen inloggen nadat het account handmatig door de beheerder is vrijgegeven. 7/1.2.2 File system-rechten Misschien wel het belangrijkste niveau waarop beveiliging wordt toegepast in een Novell-omgeving, is op het bestandssysteem. De standaardinstelling is dat gebruikers vrijwel nergens op de Novell-server iets kunnen doen. Het is belangrijk dat u zich dit realiseert, vooral wanneer u bijvoorbeeld gewend bent te werken met Microsofts Windows 2000, want dan is de situatie precies omgekeerd. Om ervoor te zorgen dat men toch iets zinnigs kan doen met bestanden die op de server voorkomen, moet u gebruikmaken van file system security. Acht rechten In file system security kan gebruik worden gemaakt van acht rechten die bepalen wat er allemaal mogelijk is: Novell Netwerkoplossingen, aanvulling 10 7/1.2-3

6 NetWare-beveiliging File Scan: Het recht om te zien dat een bestand of directory voorkomt in een bepaalde directory. Wanneer u alleen File Scan hebt, kunt u het betreffende bestand nog niet openen; u kunt alleen zien dat het bestaat. Read: Het recht om een bestand in te lezen. Dit is het recht dat u nodig hebt om de inhoud van een bestand te kunnen bekijken of een programmabestand op te starten. Create: Het recht om bestanden en/of directory s aan te maken in een directory. Write: Het recht om de inhoud van een bestaand bestand te wijzigen. Erase: Het recht om bestanden of directory s te verwijderen. Modify: Het recht om eigenschappen van een bestand aan te passen. Denk daarbij aan eigenschappen zoals de naam en de eigenaar van een bestand, maar bijvoorbeeld ook aan de attributen die op een bestand zijn ingesteld. Access Control: Het recht om anderen rechten te geven. Als een gebruiker alleen Access Control heeft op een bepaalde directory, mag hij alle andere rechten (met uitzondering van Supervisory) aan andere gebruikers geven. Supervisory: Het alles-recht. De gebruiker die dit recht heeft, is in staat om anderen rechten te geven, inclusief het Supervisory-recht. Vanwege de vergaande mogelijkheden die dit recht te bieden heeft, is het verstandig dit recht alleen te reserveren voor de systeembeheerder. 7/1.2-4 Novell Netwerkoplossingen, aanvulling 10

7 Security Door middel van file system-rechten wordt bepaald op welke bestanden en directory s gebruikers toegang hebben. 7/1.2.3 Attributen Met behulp van rechten op het bestandssysteem bepaalt u welke gebruiker wat mag doen met bepaalde bestanden. Rechten zijn dus gebonden aan gebruikers. Voor attributen geldt dit niet. Attributen zijn instellingen die u op bestanden en directory s kunt toepassen en die gewoon voor alle gebruikers gelden. Wanneer een bestand dus bijvoorbeeld read-only is, dan geldt dat voor iedereen. Het enige belangrijke criterium wat betreft de geldigheid van attributen, is het Modify-recht. Als bijvoorbeeld de gebruiker admin wordt geconfronteerd met een bestand waarop het attribuut read-only is ingesteld, kan hij zijn Modify-recht gebruiken om dit attribuut er weer af te halen. Novell Netwerkoplossingen, aanvulling 10 7/1.2-5

8 NetWare-beveiliging Met behulp van attributen kunt u bescherming instellen op bestands- of directory-niveau, ongeacht de gebruiker die het bestand benadert. 7/1.2.4 Toegangslijstjes Een heel andere vorm van beveiliging zijn de toegangslijstjes die aan sommige resources in het netwerk zijn verbonden. Een voorbeeld van zo n toegangslijstje zijn de printerobjecten. U kunt op printers namelijk lijstjes definiëren van gebruikers die toestemming hebben het betreffende object te gebruiken. Dit heeft helemaal niets met edirectory-rechten te maken; deze lijstjes zijn gewoon property s van de objecten. Het gebruik van dergelijke lijstjes stamt nog uit een grijs verleden toen er nog geen edirectory of NDS bestond. Ook op moderne objecten komt het gebruik van lijstjes echter nog steeds voor. 7/1.2-6 Novell Netwerkoplossingen, aanvulling 10

9 Security Op sommige objecten moeten speciale lijstjes aangemaakt worden verbonden waarin wordt aangegeven wie er rechten op hebben. 7/1.2.5 edirectory-rechten Wellicht het meest ingrijpende en universele systeem van rechten in een Novell-omgeving, is het systeem van edirectory-rechten. Als korte typering hiervoor kan worden gegeven dat edirectory-rechten worden gebruikt om objecten toegang te geven op andere objecten. Dit kan gaan om pure beheersfunctionaliteit, het kan echter ook gaan om het gebruik van objecten. In het volgende bespreken we uitgebreid de mogelijkheden die door middel van edirectory-rechten worden geboden. Novell Netwerkoplossingen, aanvulling 10 7/1.2-7

10 NetWare-beveiliging 7/1.2-8 Novell Netwerkoplossingen, aanvulling 10

11 Security 7/1.3 edirectory-rechten in detail Waar het bij edirectory om gaat, is gebruikers toegang te geven tot edirectory resources. U hebt in de inleiding al kunnen lezen hoe dat werkt. edirectory security wordt gebruikt om te specificeren wie informatie in edirectory kan benaderen en hoe deze informatie dan kan worden benaderd. Zo heeft een gebruiker bijvoorbeeld rechten nodig om te kunnen inloggen op de edirectory tree, daarnaast heeft een gebruiker bijvoorbeeld ook rechten nodig om zijn log-inscript te kunnen uitvoeren. edirectory-rechten zijn dus essentieel voor het functioneren van uw netwerk, toch hoeft er niets aan edirectory-rechten te worden gedaan opdat gebruikers kunnen inloggen. Dit komt omdat er gebruik wordt gemaakt van standaardrechten waarmee dergelijke processen gewoon voortgang kunnen vinden. 7/1.3.1 Standaard-eDirectory-rechten Bij het aanmaken van een edirectory tree zorgen standaardrechten ervoor dat het belangrijkste werk zonder problemen kan worden uitgevoerd. De gebruiker admin heeft Supervisor-rechten op de root. Hierdoor kan admin het totale beheer uitvoeren over de gehele edirectory tree. Bovendien heeft Admin ook Supervisor-rechten op alle bestanden en alle serverobjecten in de tree, zodat hij ook daar zijn werk kan doen. De trustee public wordt gebruikt om te verwijzen naar iedereen die contact heeft met de tree, zelfs als er nog niet is ingelogd. Deze public trustee heeft Browse-rechten op de volledige tree. Hierdoor heeft iedereen rechten om alle objecten in de gehele tree te zien. Dit is overigens iets dat u vanuit oogpunt Novell Netwerkoplossingen, aanvulling 10 7/1.3-1

12 NetWare-beveiliging van beveiliging goed in de gaten moet houden. Voor hackers kan deze informatie namelijk zeer interessant zijn. Default-rechten geven gebruikers toegang tot die zaken waarop ze toegang moeten hebben. 7/1.3.2 Trustees en inherited rights Een belangrijk begrip bij het werken met edirectory-rechten, is de trustee. Een trustee is een object dat is toegevoegd aan de Access Control List van een ander object. We kunnen ons voorstellen dat u niet zo heel veel kunt met deze definitie, dus laten we deze iets beter analyseren. ACL Elk object in edirectory heeft een Access Control List (ACL). In deze ACL staat genoteerd wie er allemaal rechten hebben op dat object; anders geformuleerd: alle rechthebbenden die in de ACL zijn opgenomen, zijn trustees van 7/1.3-2 Novell Netwerkoplossingen, aanvulling 10

13 Security dat object. Een voorbeeld: gebruiker Fozia is trustee op de container corp. Ze heeft daar het Supervisor-recht en kan dus alles doen. In onderstaande afbeelding ziet u Fozia ook duidelijk als trustee terug: klik met de rechtermuisknop op het betreffende containerobject, selecteer vervolgens uit het snelmenu de optie Trustees of this object en u ziet wie er allemaal trustee zijn. Als u vervolgens ook wilt zien welke rechten deze trustee heeft, kunt u ook nog op de knop Assigned Rights klikken; deze knop geeft u een volledig overzicht van alle rechten die zijn toegekend. Trustees van een object kunnen worden getoond met de optie Trustees of this object. Nu komt er onder de container corp een container voor met de naam boekh. Is Fozia nu ook trustee van deze container boekh? Wanneer u op de hiervoor beschreven wijze kijkt, Novell Netwerkoplossingen, aanvulling 10 7/1.3-3

14 NetWare-beveiliging blijkt dat dit niet het geval is. Fozia wordt niet genoemd in het lijstje dat wordt getoond door de optie Trustees of this object. Fozia is geen trustee van een container die voorkomt onder corp. Een heel andere vraag is of Fozia ook rechten heeft op deze container. Het antwoord op deze vraag is ja, dat heeft ze. Niet omdat ze trustee is van boekh, maar omdat ze trustee is van het containerobject waarin boekh voorkomt. Hoe dat kan? Dit is veroorzaakt door het mechanisme van inheritance. Dit mechanisme zorgt ervoor dat een gebruiker rechten heeft op alle objecten die voorkomen onder het object waar deze gebruiker trustee van is. U kunt dit overigens op de volgende wijze achterhalen: 1. Klik met de rechtermuisknop op het object waarvoor u wilt zien welke rechten erop van toepassing zijn en selecteer de optie Trustees of this object. 7/1.3-4 Novell Netwerkoplossingen, aanvulling 10

15 Security 2. Selecteer nu de optie Effective Rights en selecteer in het kader For Trustee de trustee waarvoor u de effectieve rechten wilt bekijken. 3. Selecteer nu de optie All Attributes Rights om de rechten op attributen te bekijken of Entry Rights om de rechten op de objecten zelf te bekijken. In ons voorbeeld van zojuist zult u zien dat gebruiker Fozia gewoon alle rechten heeft die ze als trustee op de bovenliggende directory ook heeft gekregen. Met behulp van de knop Effective Rights kunt u de effectieve rechten van een gebruiker bekijken, of die nu verkregen zijn doordat de gebruiker trustee is of niet. Uit het bovenstaande is gebleken dat de ACL een zeer belangrijk onderdeel is voor het werken met rechten op de NDS. We kunnen eigenlijk wel zeggen dat het het meest belangrijke onderdeel is: de ACL is immers de lijst waarin wordt bijgehouden wie er allemaal rechten hebben op een object. Voor alle duidelijkheid nogmaals: geërfde rechten worden niet opgeslagen in de ACL. Tijdens het werken met Novell Netwerkoplossingen, aanvulling 10 7/1.3-5

16 NetWare-beveiliging rechten op edirectory moet u deze ACL ook bijzonder goed in de gaten houden. U kunt zich misschien voorstellen wat er effectief gebeurt wanneer iemand per ongeluk schrijfrechten op de ACL krijgt 7/1.3.3 Wie worden er trustee? Bij het werken met rechten in een Novell-omgeving, zult u zich heel goed moeten afvragen aan wie u de rechten uiteindelijk wilt geven. U hebt de mogelijkheid rechten uit te delen aan individuele gebruikers, maar dat is niet altijd de meest eenvoudige wijze om met rechten te werken. Over het algemeen kunt u rechten uitdelen aan de volgende objecten: Users; Organizational Role; Group; Containers; Tree; Public. Users Alleen wanneer een recht van toepassing moet zijn voor één specifieke persoon, zou u kunnen overwegen dit recht rechtstreeks aan de betreffende persoon te geven. Een voorbeeld hiervan is de gebruiker admin die automatisch beheerdersrechten krijgt op de tree. In de meeste gevallen is dit echter niet aan te raden met rechten die u aan individuen geeft dit komt namelijk de overzichtelijkheid van uw netwerk niet ten goede. Zelfs wanneer u rechten zou willen uitdelen aan een enkele persoon, is het de moeite waard te overwegen of u daarvoor niet beter gebruik kunt maken van een functionele rol. Speciaal voor dit doel is de Organizational Role in het leven geroepen. 7/1.3-6 Novell Netwerkoplossingen, aanvulling 10

17 Security Occupant Organizational Role Een Organizational Role is een NDS-object dat kan worden gebruikt voor een bepaalde functie binnen het bedrijf. Zo hebt u niet de persoon Petra, maar de functie medewerker helpdesk. In plaats van de rechten rechtstreeks te koppelen aan een persoon, is het veel handiger deze rechten aan zo n Organizational Role te verbinden. Het voordeel? Op het moment dat de persoon die deze rol opneemt, iets anders gaat doen, hoeft u alleen maar de persoon van de Organizational Role los te koppelen en er iemand anders voor in de plaats neer te zetten. Om personen aan een Organizational Role te verbinden, maakt u gebruik van de Property Occupant. 1. Klik met de rechtermuisknop op de container waarin u een Organizational Role wilt aanmaken, selecteer de optie New en vervolgens Object. 2. Selecteer in het venster New Object de optie Organizational Role. 3. Geef een naam aan de aan te maken rol, bijvoorbeeld medewerker helpdesk. Selecteer de optie Define additional properties en klik op OK om de rol aan te maken. 4. Op het tabblad General, Identification vindt u de optie Occupant. Zorg ervoor dat hier alle namen worden vermeld van gebruikers die u aan deze rol wilt toekennen. Gebruik hiervoor de browse-knop rechts van deze optie. Novell Netwerkoplossingen, aanvulling 10 7/1.3-7

18 NetWare-beveiliging Om personen lid te maken van een Organizational Role, werkt u met de optie Occupant. Group Een van de meest gebruikte manieren om rechten uit te delen, is het fenomeen Group. Hoe het werkt? Eigenlijk lijkt het qua toepassing heel veel op de Organizational Role. Om te beginnen maakt u een groepsobject aan. Zo n groep kunt u bijvoorbeeld de naam van een afdeling geven: creëer een groep Boekhouding en maak daar alle gebruikers lid van die op die afdeling werken. Vervolgens geeft u de groep ergens rechten op en de mensen die lid zijn van de groep, krijgen deze rechten automatisch ook. U kunt geen verschil zien met het gebruik van een Organizational Role? Dat is er ook niet. Het enige verschil tussen een Organizational Role en een groep is een functioneel verschil. Vaak worden Organizational Roles gebruikt om rechten uit te delen in de edirectory aan mensen die een bepaalde functie vervullen. 7/1.3-8 Novell Netwerkoplossingen, aanvulling 10

19 Security U hebt hiervan in het voorgaande een voorbeeld gezien bij het aanmaken van de Organizational Role medewerker helpdesk. Voor alle duidelijkheid: we hadden hier even goed voor een groep kunnen kiezen. Groepen echter worden vaker gebruik om rechten uit te delen op directory s in het bestandssysteem. Stel u bijvoorbeeld voor dat er een gedeelde directory DATA:GROEPEN\BOEKH op uw server voorkomt. Dit is de directory waarin alle boekhouders bestanden met elkaar kunnen delen. Het is dan handig om de groep boekhouders rechten te geven tot die directory. Daarnaast zou u applicatiedirectory s op uw server kunnen hebben. Denk aan een APPS:\WP en een APPS:\DB. Niets handiger om voor elk van die directory s een overeenkomstige groep in edirectory aan te maken. De groepen geeft u vervolgens rechten op het bestandssysteem en u zorgt ervoor dat iedere gebruiker lid is van de groepen die hij nodig heeft. Nogmaals: groepen en Organizational Roles kunnen voor hetzelfde worden gebruikt. Het is echter aan te raden in uw implementatieplan een duidelijk onderscheid tussen beide te maken; zo houdt u uw tree namelijk overzichtelijk. Groep aanmaken Om een groep aan te maken en daar personen lid van de maken, gaat u als volgt te werk: 1. Klik met de rechtermuisknop op de container waarin u de groep wilt aanmaken. Selecteer uit het snelmenu de optie New en vervolgens de optie Group. 2. Voer de naam in van de groep die u wilt aanmaken. Selecteer vervolgens de optie Define additional properties en klik op OK om de groep aan te maken. 3. Selecteer nu het tabblad Members. Op dit tabblad kunt u met behulp van de knop Add gebruikersobjecten lid maken van de groep. Novell Netwerkoplossingen, aanvulling 10 7/1.3-9

20 NetWare-beveiliging Om personen lid te maken van een groep, gebruikt u het tabblad Members. Containers In het voorgaande hebben we eerst een Organizational Role en vervolgens een groep of Group aangemaakt en daar personen lid van gemaakt. Het kan ook anders: u kunt ook gewoon werken met containers en daaraan rechten geven. Alle objecten die voorkomen in een container erven namelijk automatisch de rechten van die container. U wilt ervoor zorgen dat alle gebruikers in de container corp edirectory rechten krijgen om het een of ander uit te voeren? Gebruik dan gewoon de container als trustee. Wel zo gemakkelijk. Dit verhaal geldt natuurlijk voor de Organization- en Organizational Role-containers die u binnen de directory aantreft. Als alternatief kunt u echter ook gewoon gebruik- 7/ Novell Netwerkoplossingen, aanvulling 10

21 Security maken van het tree-object. Dit is immers niets meer of minder dan de bovenste container in uw edirectory-tree. Wanneer u het tree-object ergens rechten op geeft, gelden deze rechten automatisch voor alle objecten in de gehele tree. U moet dus wel oppassen met de rechten die u aan het tree object geeft. Public Een trustee-object waarvoor u helemaal moet oppassen, is de public trustee. Er is overigens iets merkwaardigs aan de hand met deze trustee. Hij bestaat namelijk nergens binnen de edirectory-tree, maar verschijnt wel overal als u rechten aan het uitdelen bent. De public trustee bestaat nergens in de tree, maar u kunt er wel rechten aan geven. Het is goed te verklaren dat de public trustee nergens in de tree voorkomt. Deze trustee valt namelijk buiten de tree; hij staat erboven. De public trustee staat immers voor alle gebruikers die wel verbonden zijn met uw tree, maar zich Novell Netwerkoplossingen, aanvulling 10 7/1.3-11

22 NetWare-beveiliging nog niet door middel van authenticatie hebben bekendgemaakt. U moet dus verschrikkelijk goed oppassen wanneer u met deze trustee aan het werk wilt: rechten van public trustee gelden voor iedereen, ook voor de hacker die erin slaagt uw tree te benaderen. Ons advies? Gebruik de public trustee nooit. Twee niveaus 7/1.3.4 De rechten Wanneer u rechten wilt uitdelen op edirectory, moet u zich om te beginnen realiseren dat deze rechten op twee niveaus kunnen worden uitgedeeld. Om te beginnen zijn er de object (entry) rights. Deze geven u het recht om iets met een object te doen. Naast de objectrechten, zijn er de property- (attribute-) rechten. Dit zijn rechten die het mogelijk maken om iets met de eigenschappen van een object te doen. In principe hebben deze twee sets rechten niets met elkaar te maken. De enige uitzondering op deze regel is het geval waarin een gebruiker Supervisor-rechten op het object heeft. Supervisorrechten hebben op een object betekent namelijk automatisch ook Supervisor-rechten hebben op alle eigenschappen van het object. Voor de rest is er geen overlap. Neem het volgende voorbeeld. Uw buurman heeft een grote doos in zijn tuin staan. U hebt van hem het recht gekregen naar deze doos te kijken. Betekent dat dat u ook mag zien wat erin zit? Nee! U hebt het objectrecht kijken gekregen op het object doos. U hebt echter geen property-rechten gekregen die u toestaan te zien wat de eigenschappen van het object zijn. De volgende entry-rechten kunnen worden uitgedeeld: Supervisor (S) Dit is het recht alles te doen met het object. Wanneer een trustee Supervisor-rechten heeft op een object, 7/ Novell Netwerkoplossingen, aanvulling 10

23 Security volgt daar automatisch uit dat hij ook Supervisorrechten heeft op de property s van het object. Browse (B) Met dit recht wordt het mogelijk gemaakt te zien welke objecten er bestaan in de tree. Browse is het minimale recht dat u nodig hebt voordat een object kan worden gebruikt; zonder Browse kunt u het immers niet zien en wordt het gebruik erg lastig (maar niet onmogelijk). Create (C) Het Create-recht staat de trustee toe objecten aan te maken. Omdat in een leaf-object geen andere objecten kunnen worden aangemaakt, is het Create-recht alleen van toepassing op containerobjecten. Delete (D) Trustees met het Delete-recht hebben de mogelijkheid een object uit de tree te verwijderen. Rename (R) Wanneer u het Rename-recht hebt, mag u de naam van een object wijzigen. Inheritable (I) Dit recht maakt het mogelijk dat objecten die op een container zijn toegepast, ook gelden voor alle objecten die onder die container voorkomen. Dit recht staat standaard aan, maar kan worden uitgezet als u wilt voorkomen dat rechten automatisch worden geërfd. In nauwe relatie met dit recht, bestaat er ook het Inherited Rights Filter (zie verderop in deze paragraaf). Eigenlijk is Inheritable geen recht, maar een specificatie van hoe er met de rechten moet worden omgegaan. Novell Netwerkoplossingen, aanvulling 10 7/1.3-13

24 NetWare-beveiliging De Entry-rechten bepalen wat een gebruiker met een edirectory-object kan doen. Zoals gezegd bestaan er naast de Entry-rechten ook attribuutrechten. Hiermee wordt bepaald welke eigenschappen van een object mogen worden aangepast. Bij het werken met attribuutrechten is het belangrijk hoe u deze rechten uitdeelt. Het is namelijk mogelijk rechten te geven op alle attributen (zie All Attributes Rights); daarnaast kunnen ook rechten worden gegeven op afzonderlijke attributen. Het is belangrijk te weten dat de rechten die op afzonderlijke attributen worden gegeven, de rechten op alle attributen overschrijven. Dit wordt gedemonstreerd in de volgende procedure waarin rechten uitgedeeld worden gegeven op een volkomen willekeurig edirectory-object: 1. Selecteer een willekeurige container, klik daar met de rechtermuisknop op en selecteer de optie New, Object. Selecteer vervolgens een willekeurig object, bijvoorbeeld een AFP-server. 7/ Novell Netwerkoplossingen, aanvulling 10

25 Security 2. Klik met de rechtermuisknop op het object dat u zojuist hebt aangemaakt en selecteer uit het snelmenu de optie Trustees of this Object. 3. Klik op de knop Add Trustee om een trustee toe te voegen. Selecteer een willekeurige gebruiker aan wie u rechten wilt geven. 4. Selecteer nu in het venster Rights assigned to selected objects de optie All attribute rights en klik hier de rechten Compare, Read en Write aan. 5. Klik nu op de knop Add Property en selecteer de property ACL. Klik op OK wanneer u deze property hebt geselecteerd. Specificeer nu voor deze property alleen de rechten Compare en Read. Rechten toegekend op een afzonderlijke property overschrijven de rechten die met behulp van de optie All Properties zijn toegevoegd. Het resultaat van bovenstaande procedure is dat de rechten op de ACL-property alleen staan ingesteld op Read en Novell Netwerkoplossingen, aanvulling 10 7/1.3-15

26 NetWare-beveiliging Compare. Hiermee wordt de standaardinstelling waarmee Write, Read en Compare op alle property s is ingesteld, overschreven. De volgende rechten kunnen uitgedeeld worden op property s: Supervisor (S) Geeft de eigenaar van het recht alle rechten op alle property s. Compare (C) Maakt het mogelijk de waarde van een property te vergelijken met een waarde die in een query is opgegeven. Met behulp van dit recht kan een gebruiker bijvoorbeeld een lijst opvragen van alle groepen waarvan hij lid is, zonder dat kan worden gezien wie er nog meer lid zijn van die groep. Dit recht wordt echter nooit afzonderlijk gebruikt. Read (R) Biedt de mogelijkheid de waarde van de property uit te lezen. Write (W) Geeft toestemming de waarde van een property te wijzigen. Pas in het bijzonder op met de ACL-property, het Write-recht op de ACL-property is namelijk effectief gelijk aan het Supervisor-recht op het object zelf! Add/Remove Self (A) Dit recht verschaft de mogelijkheid dat een gebruiker zichzelf toewijst of verwijdert als lid. Dit recht is alleen van toepassing op mailing lists waarop gebruikers zichzelf kunnen abonneren. Inheritable (I) Hiermee kan worden aangegeven dat rechten die zijn ingesteld op een container ook moeten gelden voor alle objecten die onder die container voorkomen. Dit 7/ Novell Netwerkoplossingen, aanvulling 10

27 Security recht is bijvoorbeeld bijzonder handig om ervoor te zorgen dat een medewerker van de helpdesk in staat is de wachtwoorden van alle gebruikers in de edirectory-tree te resetten voor het geval een gebruiker zijn wachtwoord is vergeten. Resetten wachtwoord In de volgende procedure wordt een voorbeeld met het resetten van een wachtwoord uitgewerkt: 1. Klik met de rechtermuisknop op uw tree-object en selecteer de optie Trustees of this Object. 2. Klik op de knop Add Trustee om een nieuwe trustee toe te voegen. 3. Selecteer de gebruiker of Organizational Role waaraan u de rechten voor de helpdeskmedewerker wilt verbinden. 4. Klik nu op Add Property om alleen rechten voor één specifieke property in te stellen. 5. Er verschijnt nu een lijst waarin u alleen de property s ziet die aan het tree-object kunnen worden toegekend. Klik op de knop Show all Properties om alle property s die in uw edirectory-tree bestaan, te zien. U zult zien dat de lijst van getoonde opties hierdoor aanmerkelijk langer wordt. Gebruik de optie Show all properties om alle eigenschappen die in de tree bestaan, te zien te krijgen. Novell Netwerkoplossingen, aanvulling 10 7/1.3-17

28 NetWare-beveiliging 6. Blader naar de property Password Management en selecteer deze door op OK te klikken. Houd er rekening mee dat de lijst met property s op een merkwaardige wijze alfabetisch is gesorteerd. U ziet eerst alle hoofdletters op alfabet en daarna alle kleine letters. 7. Stel nu de rechten op deze property in op Compare, Read en Write. Als u het hierbij laat, hebt u iets zinloos gedaan. Zonder dat het recht Inheritable is geselecteerd, zegt u hier immers mee dat u het wachtwoord van de edirectory-tree mag beheren. Wanneer u de optie Inheritable aanklikt, bereikt u hiermee het effect dat u de wachtwoorden van alle gebruikers die in de hele edirectory-tree voorkomen kunt resetten. Met het recht Inheritable kunt u ervoor zorgen dat één bepaalde property op alle objecten in de NDS-tree kan worden beheerd. 7/ Novell Netwerkoplossingen, aanvulling 10

29 Security 7/1.3.5 Inheritance- en effectieve rechten In het voorgaande hebben we er al vaker op gewezen dat rechten in de edirectory-tree worden geërfd. Als gebruiker admin Supervisory heeft op het tree-object, geldt dat standaard ook voor alle objecten die daaronder voorkomen. Inheritance is dus de standaardregel. Toch zijn er twee belangrijke uitzonderingen op deze standaardregel. Als eerste is dat het geval waarin een trustee opnieuw rechten krijgt toegekend. Daarnaast kan gebruik worden gemaakt van Inherited Rights Filters om het erven van rechten tegen te houden. Tot slot moet u nog weten hoe rechten die een object op verschillende manieren heeft gekregen, zich tot elkaar verhouden. We zullen alle drie de zaken aan de hand van een voorbeeld uitwerken. Uitzondering 1: Hetzelfde object krijgt opnieuw rechten Wanneer een gebruiker hoog in de tree rechten heeft gekregen, worden deze rechten automatisch geërfd op alle objecten die onder het punt voorkomen waarop de rechten waren uitgedeeld. Een uitzondering op deze regel doet zich voor wanneer dit object opnieuw rechten krijgt toegewezen. We zullen dit aantonen aan de hand van een voorbeeld. Gebruiker Nadia krijgt Browse-, Create- en Deleterechten op een hoog punt in de tree. Op een lager punt in de tree maken we Nadia opnieuw trustee, maar nu alleen met het Browse-recht. U zult zien dat de rechten die als laatste zijn gegeven, de eerdere rechten overschrijven. 1. Selecteer de Organization in uw edirectory-tree. Klik hier met de rechtermuisknop op en selecteer de optie Trustees of this object. Gebruik de knop Add Trustee om een nieuwe trustee toe te voegen. Geef deze trustee de Entry Rights Browse, Create en Delete. Verzeker u ervan dat ook het recht Inheritable is geselecteerd. Novell Netwerkoplossingen, aanvulling 10 7/1.3-19

30 NetWare-beveiliging 2. Blader nu naar een object dat voorkomt onder de Organization waarop u zojuist rechten hebt uitgedeeld. Klik op de knop Effective Rights en selecteer in het kader For Trustee boven in het scherm de trustee waarvoor u de rechten wilt bekijken. Wanneer u in het kader Property de optie Entry Rights selecteert, zult u hier de rechten Browse, Create en Delete geselecteerd zien staan. Dit is een bewijs van de algemene regel van Inheritance. Rechten die hoog in de tree zijn gegeven, erven door naar alle objecten onder het punt waarop de rechten gegeven zijn. 3. Selecteer nu een container onder de Organization waarin u zojuist het trustee assignment hebt gedaan. In ons voorbeeld hebben we rechten gegeven op o=ema, wij selecteren nu de container ou=nyc.o= ema. 4. Klik met de rechtermuisknop op deze container en selecteer de optie Trustees of This Object. Selecteer 7/ Novell Netwerkoplossingen, aanvulling 10

31 Security vervolgens de optie Add Trustee en voeg dezelfde gebruiker als zojuist is gebruikt, als trustee toe. Zorg er nu voor dat voor de property Entry Rights alleen het recht Rename is geselecteerd. Verzeker u er ook hier van dat de optie Inheritable aanstaat. Sla de wijzigingen op door op OK te klikken. Sluit ook het venster waarin u de trustee ziet door op OK te klikken. Dit zorgt er namelijk voor dat de wijzigingen ook daadwerkelijk in de edirectory worden weggeschreven. 5. Selecteer nu een willekeurig object dat voorkomt in de container waar u zojuist het nieuwe trustee assignment hebt gedaan en bekijk daar de effectieve rechten. U zult zien dat alleen de rechten die u als laatste hebt toegevoegd als effectieve rechten staan genoemd. Het kan overigens zijn dat ook Browse tussen de effectieve rechten staat. Dit komt omdat iedere gebruiker in de directory ook de rechten van de public trustee erft. In ons voorbeeld heeft gebruiker Nadia dus van zichzelf alleen het recht Rename over. We hebben echter ook een public trustee die het recht Browse heeft; de effectieve rechten van Nadia moeten dus worden opgeteld bij de rechten die ze als onderdeel van de Public trustee heeft gekregen. Novell Netwerkoplossingen, aanvulling 10 7/1.3-21

32 NetWare-beveiliging Het bewijs: later toegekende rechten overschrijven de rechten die een trustee op een eerder punt heeft gekregen. Met de voorgaande demonstratie hebben we twee dingen bewezen. Als eerste hebben we gezien dat op het moment dat een trustee opnieuw rechten krijgt, alle rechten die diezelfde trustee eerder heeft verkregen, vervallen. Even opletten: dit gaat alleen op wanneer het om dezelfde trustee gaat. Het tweede punt dat u hebt kunnen waarnemen, is het punt van de rechten van public. In het voorgaande voorbeeld hebt u kunnen zien dat Nadia als onderdeel van de trustee public ook rechten krijgt, Browse in dit geval. Ook dit is een belangrijk punt: wanneer een object op verschillende manieren rechten krijgt, moeten de rechten die op alle verschillende manieren zijn verkregen, bij elkaar worden opgeteld. 7/ Novell Netwerkoplossingen, aanvulling 10

33 Security Uitzondering 2: Het IRF Naast de mogelijkheid een object gewoon opnieuw rechten te geven, is er nog een optie om ervoor te zorgen dat het erven van rechten wordt beïnvloed: het Inherited Rights Filter (IRF). Een IRF is een filter dat het erven van rechten tegenhoudt ongeacht de persoon op wie de rechten van toepassing zijn. U kunt een IRF dus gebruiken om een object of container voor anderen te verstoppen, maar ook om ervoor te zorgen dat uw alledaagse admin-gebruiker over een bepaalde container niet langer beheersrechten heeft. Standaard wordt er geen gebruik gemaakt van IRF s in uw edirectory als u wilt, kunt u er echter zelf een aanmaken. Aangezien een demo wellicht meer zegt dan heel veel woorden, zullen we in de nu volgende procedure uiteenzetten wat er voor nodig is om een IRF te maken. Voorbeeld In dit voorbeeld filteren we eenvoudigweg het Browserecht op de container mktg.nyc.ema uit. Normaliter mogen gebruikers zien welke objecten zich in een bepaalde container bevinden dankzij het Browse-recht van de gebruiker public. We zullen hier laten zien dat dat heel eenvoudig is tegen te houden. Dit is overigens niet iets wat er ook voor zal zorgen dat u niet langer kunt inloggen; gebruikers kunnen gewoon nog inloggen met een naam van een object dat in deze container is gedefinieerd. Het is alleen niet langer mogelijk voorafgaand aan het inloggen het betreffende object te zien te krijgen. 1. Klik met de rechtermuisknop op de container waarop u het IRF wilt instellen en selecteer de optie Trustees of this object. 2. Selecteer het tabblad NDS Rights, Inherited Rights Filters. U ziet nu een overzicht van alle IRF s die op de geselecteerde container zijn ingesteld. Klik nu op de knop Add Filter om uw eigen filter toe te voegen. Novell Netwerkoplossingen, aanvulling 10 7/1.3-23

34 NetWare-beveiliging 3. Er verschijnt nu een filter waarin u kunt aangeven wat er precies moet worden gefilterd. IRF s kunnen op afzonderlijke property s, alle property s tegelijk of op het object worden ingesteld. 4. Selecteer nu de optie All Attribute Rights en klik op OK. U bent nu terug in het hoofdscherm van de IRF s. Hier ziet u dat het filter standaard alle rechten doorlaat. Dit kunt u zien doordat alle rechten staan aangeklikt. Om er bijvoorbeeld voor te zorgen dat het Write-recht niet langer kan worden geërfd, haalt u het vinkje voor dit recht weg. 7/ Novell Netwerkoplossingen, aanvulling 10

35 Security Om ervoor te zorgen dat een bepaald recht niet langer kan worden geërfd, moet u het vinkje voor dat recht weghalen. 5. Klik nu nogmaals op de knop Add Filter. Om een filter in te stellen op de objectrechten, selecteert u nu de optie Entry Rights. Klik vervolgens op OK om deze keuze te accepteren. U ziet dat ook hier standaard alle rechten worden doorgelaten. Klik op het vakje voor het recht Browse opdat dit recht niet langer standaard wordt geërfd. U ziet nu in het venster Inherited Rights Filters een overzicht van alle beschikbare filters. Wanneer u een filter aanklikt, kunt u de werking van het filter bekijken. Novell Netwerkoplossingen, aanvulling 10 7/1.3-25

36 NetWare-beveiliging Wanneer u klaar bent met de definitie van filters, wordt een overzicht getoond van alle filters die op dat moment beschikbaar zijn. 6. In dit voorbeeld hebben we een filter ingesteld op mktg.nyc.ema. Om te zien wat het effect is van het filter, gaan we nu eerst kijken wat de rechten zijn van een willekeurige gebruiker voor dit punt (bijvoorbeeld op nyc.ema) en vervolgens wat de effectieve rechten zijn na dit punt. 7. Klik met de rechtermuisknop op een hooggelegen container (nyc.ema in ons voorbeeld) en selecteer uit het snelmenu de optie Trustees of this Object. Klik op de knop Effective Rights en blader naar een gebruiker van wie u zeker weet dat u aan hem of haar geen aparte rechten hebt toegekend. Let op: dit mag niet een gebruiker zijn die voorkomt in de container waarop u het filter hebt ingesteld. Wanneer u voor 7/ Novell Netwerkoplossingen, aanvulling 10

37 Security deze gebruiker de effectieve rechten op de Entry Rights bekijkt, zult u zien dat de gebruiker het Browse-recht heeft. Dit komt omdat elke gebruiker standaard de permissies van de public trustee erft. Sluit alle vensters totdat u weer terug bent in het hoofdvenster van ConsoleOne. Voordat het filter actief is, heeft de gebruiker gewoon de rechten van de public trustee. 8. Klik nu op een object in de container waarop u het filter hebt ingesteld en selecteer de optie Trustees of this Object. Bekijk vervolgens de effectieve Entry Rights van de gebruiker die u zojuist ook hebt bekeken. U zult zien dat de gebruiker geen rechten meer heeft. Het Browse-recht van de public trustee wordt nu immers tegengehouden. Novell Netwerkoplossingen, aanvulling 10 7/1.3-27

38 NetWare-beveiliging Door de werking van het filter wordt het Browse-recht van public trustee tegengehouden. Hierdoor heeft onze voorbeeldgebruiker geen standaardrechten meer. 7/ Novell Netwerkoplossingen, aanvulling 10

39 Security 7/1.4 Toepassing van edirectoryrechten In het voorgaande is behandeld wat er zoal mogelijk is en wat niet door gebruik te maken van edirectory-security. We behandelen nu in welke gevallen het nodig is om iets aan edirectory-beveiliging te doen door middel van deze rechten. Het is namelijk absoluut niet zo dat in alle mogelijke situaties met deze vorm van rechten moet worden gewerkt. 7/1.4.1 Gedelegeerde netwerkbeheerders In een groot netwerk zal het beheer van het netwerk doorgaans door meer dan één persoon worden uitgevoerd. Dit betekent dat er meerdere personen beheerrechten op de tree moeten hebben. Dit zou u kunnen oplossen door een aantal andere gebruikers dezelfde rechten te geven als de gebruiker admin. In dat geval zorgt u er gewoon voor dat een of meer gebruikers Supervisory-entry-rechten en Supervisory op All Attributes hebben van de tree. Als alternatief kan er ook voor worden gekozen om beheerders beheerrechten te geven op een beperkt deel van de tree. Dit is bijvoorbeeld zinnig om op een vestiging in een wereldwijde tree een lokale beheerder aan te maken. In dat geval wordt de lokale beheerder toegevoegd als trustee van de container waarop hij het beheer mag uitvoeren en krijgt hij alleen op die container Supervisor-object- en property-rechten. Uitzonderingen 7/1.4.2 Gebruik van speciale objecten Om gebruik te maken van de meeste objecten in een tree, zijn de permissies standaard goed geregeld. Er is echter een tweetal uitzonderingen. De eerste uitzondering is het Profile-log-inscript. Dit is een soort groepslog-inscript waarvan gebruikers lid kunnen worden gemaakt. Wanneer Novell Netwerkoplossingen, aanvulling 11 7/1.4-1

40 NetWare-beveiliging een gebruiker er lid van is, kan tijdens het inloggen de loginscript-property worden uitgelezen waarin de commando s zijn gedefinieerd die tijdens het inloggen moeten worden uitgevoerd. Om gebruik te maken van een Profile-loginscript, moeten alle gebruikers die het moeten gebruiken dus read-rechten hebben op de log-inscript-property. Het tweede speciale object is het directory map-object. Dit is een NDS-object met een verwijzing naar een fysiek pad erin. Bij het maken van een mapping kan worden verwezen naar het directory map-object, vervolgens wordt de path property van dit object uitgelezen en de daadwerkelijke mapping verwijst naar de directory die bij deze path property is opgegeven. U begrijpt het al, hiervoor is het readrecht op de path property nodig. 7/1.4.3 Helpdeskmedewerkers Een derde punt waarop vaak gebruik wordt gemaakt van rechten op de edirectory, is in het geval van helpdeskmedewerkers. U hebt al een voorbeeld kunnen lezen waarin de helpdeskmedewerker het write-recht kreeg op de property Password Management. Naast deze property, die het mogelijk maakt wachtwoorden te beheren, is er nog een aantal property s die voor helpdeskmedewerkers relevant kunnen zijn. Denk bijvoorbeeld aan de property s die te maken hebben met een intruder lock-out. Wanneer een gebruiker write-rechten heeft op deze property s, kunnen dergelijke specifieke zaken door een helpdeskmedewerker worden aangepast. Hiermee hebben we de meest voorkomende gevallen behandeld waarin edirectory-beveiliging moet worden toegepast. Laten we tot slot van deze paragraaf nog één ding zeggen: om gewoon met edirectory te kunnen werken, hoeft u voor uw gebruikers niets te regelen. Dit is namelijk 7/1.4-2 Novell Netwerkoplossingen, aanvulling 11

41 Security door de standaardinstellingen allemaal al geregeld. Dit is een belangrijke tegenstelling tot de werkwijze die bijvoorbeeld wordt gebruikt bij het werken met rechten op het file system. Novell Netwerkoplossingen, aanvulling 11 7/1.4-3

42 NetWare-beveiliging 7/1.4-4 Novell Netwerkoplossingen, aanvulling 11

43 Security 7/1.5 Novell Modular Authentication Services Het standaard-authenticatiemechanisme op een NetWareserver is uitstekend geregeld. Toch kan ook hier nog wel wat aan worden toegevoegd. Er wordt namelijk wel een mogelijkheid geboden in te loggen met de combinatie van gebruikersnaam en wachtwoord, er is echter geen enkele optie om op een meer geavanceerde wijze aan te melden. Denk daarbij aan de verschillende manieren van strong authentication zoals het aanmelden met behulp van een smartcard, fingerprint reader, irisscan, enzovoort. Wilt u hiervan gebruikmaken, dan hebt u een extra product genaamd Novell Modular Authentication Services (NMAS) nodig. 7/1.5.1 Twee vormen van NMAS NMAS wordt geleverd in twee varianten. Ten eerste is er het NMAS-starter-pack dat standaard deel uitmaakt van de NetWare 6-software. Daarnaast is er de NMAS Enterprise Edition die apart moet worden aangeschaft. NFAP NMAS-starter-pack Het NMAS-starter-pack wordt met NetWare 6 meegeleverd om het mogelijk te maken in te loggen bij de Native File Access Protocol- (NFAP-) services. Dit zijn de services die ervoor zorgen dat UNIX-, Apple- en Microsoft-gebruikers bestanden op de Novell-server kunnen benaderen zonder hiervoor een speciale Novell-client te moeten installeren. In feite betekent dit dat de Novell-server zich als respectievelijk een UNIX-, Apple- of Windows-server gedraagt. Dit betekent vervolgens weer dat de Novell-server ook de manieren waarop deze servers authenticatie afhandelen, moet ondersteunen. Om dit mogelijk te maken, wordt gebruikgemaakt van Simple Passwords. Dit zijn wacht- Novell Netwerkoplossingen, aanvulling 11 7/1.5-1

44 NetWare-beveiliging woorden die in de NDS worden opgeslagen en veel minder ingewikkelde algoritmes toepassen dan bij het gebruik van Novell-wachtwoorden. Aangezien het hier echter een niet-standaardwijze van authenticatie betreft, is NMAS nodig. Aan de ene kant om op basis van andere credentials toegang te kunnen verlenen tot de NDS-database en aan de andere kant ook om als client toegang te krijgen tot NDS door in te loggen met zo n simple password. Als het gaat om het aanmelden met een simple password, hoeft er in feite niets te gebeuren. Wanneer u ervoor kiest NFAP mee te installeren op de NetWare 6-server, wordt de NMAS-starter-pack-editie standaard mee geïnstalleerd. Dit zorgt ervoor dat u tijdens het aanmaken van een gebruiker kunt aangeven wat als Default Login Sequence moet worden gebruikt (zie onderstaande afbeelding). NMAS maakt het mogelijk bij het aanmaken van een gebruiker een default login sequence op te geven. 7/1.5-2 Novell Netwerkoplossingen, aanvulling 11

45 Security Standaard zal een gebruiker altijd proberen zich door middel van NDS-authenticatie aan te melden; u kunt hier echter ook kiezen voor lsmafp voor Apple-clients en lsmcifs voor Windows-gebruikers, op de manier die eigen is aan hun besturingssysteem. Ook kunt u onder de eigenschappen van de gebruikers op het tabblad Security verschillende Login Sequences aangeven. Zo kunt u het een gebruiker bijvoorbeeld mogelijk maken naast de standaardauthenticatie met gebruikersnaam en wachtwoord ook gebruik te maken van zijn fingerprint reader. Als extratje is het hier ook mogelijk aan te geven dat een gebruiker alleen maar van één of meer bepaalde log-inmethodes gebruik kan maken. Wanneer u gebruikmaakt van de NMAS Enterprise Editie, zijn er tevens vergaande mogelijkheden beschikbaar om dit proces nog verder te stroomlijnen. Met behulp van de Authorized Login Sequences kan worden uitgesloten dat gebruikers bepaalde mogelijkheden gebruiken om in te loggen. Novell Netwerkoplossingen, aanvulling 11 7/1.5-3

46 NetWare-beveiliging NMAS Enterprise Edition Zoals gezegd is er naast het NMAS-starter-pack ook een NMAS Enterprise Edition beschikbaar. Hiermee kunt u ervoor zorgen dat ook verschillende vormen van strong authentication mogelijk worden gemaakt. Voordat het echter zo ver is dat hier gebruik van kan worden gemaakt, moet er wel het een en ander worden geïnstalleerd. Als eerste natuurlijk de NMAS Enterprise Edition-software zelf, zodat de NDS zich ook bewust wordt van deze manier van authenticatie. Daarnaast moet ook op de client een speciale NMAS-client worden geïnstalleerd, zodat kan worden aangegeven dat bijvoorbeeld gebruik moet worden gemaakt van een ActivCard in plaats van een wachtwoord. We zullen nu bespreken welke stappen moeten worden doorlopen om een dergelijke configuratie aan het werk te krijgen. 7/1.5.2 Installatie NMAS Enterprise Edition Wellicht tegen de verwachting in begint de installatie van NMAS Enterprise Edition op het werkstation van de netwerkbeheerder. Deze krijgt vervolgens een scherm te zien waarin kan worden aangegeven wat er allemaal kan worden geïnstalleerd. Het is noodzakelijk dit scherm goed te lezen; u kunt hier namelijk ook terugvinden wanneer bepaalde componenten nog moeten worden geïnstalleerd. Met het installatieprogramma kunnen zowel client- als servercomponenten worden geïnstalleerd. 7/1.5-4 Novell Netwerkoplossingen, aanvulling 11